Balancer Protokolü, bilgisayar korsanlarının v2 havuzlarını hedef aldığını ve kayıpların 128 milyon dolardan fazla olduğu tahmin edildiğini duyurdu.
Balancer, otomatik bir piyasa yapıcı ve likidite altyapı katmanı olarak Ethereum blok zinciri üzerine inşa edilmiş merkezi olmayan bir finans (DeFi) protokolüdür.
Özel token karışımlarına sahip esnek havuzlar sunarak kullanıcıların varlık yatırmasına, ücret kazanmasına ve tüccarların varlıkları takas etmesine olanak tanıyor ve olaydan hemen önce piyasa değeri 65 milyon dolar olan BAL tokeni tarafından yönetiliyor.
Balancer olayla ilgili çok fazla ayrıntı paylaşmadı ancak kullanıcıları olası dolandırıcılık veya kimlik avı girişimlerine karşı dikkatli olmaları konusunda uyardı.
Balancer bugün, bir istismarın V2 Gübrelenebilir Stabil Havuzlarını 07:48 UTC itibarıyla etkilediğini ve sorunun V3 de dahil olmak üzere diğer Balancer havuzlarını etkilemediğini doğruladı.
Şirket, birkaç saat önce yapılan bir güncellemede "Ekibimiz sorunu anlamak için önde gelen güvenlik araştırmacılarıyla birlikte çalışıyor" dedi.
GoPlus Security'ye göre Balancer V2'deki istismar, Vault'un takas hesaplamalarındaki hassas yuvarlama hatasından kaynaklandı.
Her takas işlemi token tutarlarını yuvarlayarak saldırganın defalarca yararlanabileceği küçük tutarsızlıklar yarattı. BatchSwap işlevi aracılığıyla birden fazla swapın zincirlenmesiyle, bu yuvarlama kayıpları büyük bir fiyat bozulmasına yol açtı.
Ancak ne olduğunu bildiğini iddia eden diğer kullanıcılar, saldırıyı Balancer'ın V2 kasalarındaki uygunsuz yetkilendirme ve geri arama işlemlerine bağlıyor.
Aditya Bajaj'a göre, kötü niyetli olarak konuşlandırılan bir sözleşme, havuzun başlatılması sırasında kasa çağrılarını manipüle ederek korumaları etkili bir şekilde atladı ve birbirine bağlı havuzlar arasında yetkisiz takaslara ve denge manipülasyonlarına olanak sağladı.
Saldırı yöntemi konusunda henüz bir anlaşmaya varılmamış olsa da Balancer, hack hakkında daha fazla ayrıntı ve "mümkün olan en kısa sürede tam bir otopsi" paylaşma sözü verdi.
Balancer V2'nin 2021 yılından bu yana değişen inceleme kapsamlarıyla 11 kez denetlendiğini belirtmekte fayda var.
Bu arada, birisinin Balancer'ın kimliğine bürünerek ve paranın geri kalanını belirli bir adrese iade etmeyi kabul etmesi halinde hacker'a çalınan tutarın %20'si kadar "beyaz şapka ödülü" teklif ederek durumdan yararlanmaya çalıştığı anlaşılıyor.
Kimlik avı mesajı iyi yazılmıştır ve ödül, son teslim tarihi ve tehdit dahil olmak üzere hilelerin güvenilir görünmesini kontrol eder; bunların tümü acil işbirliği için baskı yapan bir müzakerenin parçasıdır.
Bilgisayar korsanı anlaşmayı reddederse, Balancer'ın kimliğine bürünen dolandırıcı, saldırganın kimliğini tespit etmek ve kovuşturmak için blockchain adli tıp uzmanlarından, kolluk kuvvetlerinden ve düzenleyici ortaklardan edindiği tüm bilgileri kullanmakla tehdit eder.
Dolandırıcılık mesajı şöyle bitiyor: "Ortaklarımız, altyapımız tarafından toplanan, tanımlanmış bir dizi IP adresi/ASN'den gelen bağlantıları ve zincirdeki işlem etkinliğiyle ilişkili giriş zaman damgalarını gösteren erişim günlüğü meta verilerinden tanımlanacağınıza yüksek derecede güveniyor."
Balancer hack'i, 2025'teki en büyük kripto para birimi soygunlarından biridir. Herhangi bir atıf olmasa da, DeFi kuruluşlarına yönelik en büyük tehdit Kuzey Koreli bilgisayar korsanlarıdır.
3 Ekim itibarıyla, bu yıl Kuzey Kore hırsızlıklarıyla bağlantılı kripto para birimi miktarı 2 milyar doları aşmıştı; şimdiye kadarki en büyüğü, 1,5 milyar dolarlık kripto para biriminin çalındığı Şubat ayındaki Bybit saldırısıydı.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Kuzey Koreli bilgisayar korsanları bu yıl 2 milyar dolardan fazla kripto para çaldı
Polis, 600 milyon Euro değerindeki kripto dolandırıcılık çetesiyle bağlantılı şüphelileri tutukladı
NFC aktarımı kötü amaçlı yazılımlarının büyük artışı Avrupalıların kredi kartlarını çaldı
Parola kasalarını ihlal etmek için kullanılan sahte LastPass ölüm iddiaları
ABD, 'domuz kesen' elebaşından 15 milyar dolarlık kripto para ele geçirdi
Kaynak: Bleeping Computer